Metamask 钱包被掏了,损失 100 多 U,不指望能追回来,希望 V 友们分析下到底是哪个环节泄露了私钥 or 助记词?
hour2015 · 2023-10-12 19:36:13 +08:00 · 8779 次点击这是一个创建于 374 天前的主题,其中的信息可能已经有所发展或是发生改变。
悲催,币安网的 USDT 和 BNB 被黑客盗走了,好在金额不多,大概 120 刀左右,大概情况如下: 1 )我用印象云笔记存储了助记词,大概有 4~5 个月了,平常交易都是用 Metamask 浏览器插件; 2 )前几天手机上安装了 tokenPocket ,然后用电脑微信把云笔记的助记词复制后,发给了手机微信,导入了 tokenPocket 钱包,手动生成了比较靠后的钱包地址(被盗地址),2~3 天后就被盗了…… 3 ) tokenPocket 是 Google Play 上下载的官方 App ,手机是华为 P30 Pro ,OS 是 Win10 ,常用软件:搜狗输入法、WPS 、有道云笔记(免费版)、Chrome 最新版 117 、uTools
黑客钱包:0xf604219210963e144d4A145a2462824B412598fa ,这个钱包除了在 goerlia 网上参与过空投外,其他网上都没有记录。
对应的 2 笔交易 https://www.bscscan.com/tx/0xf25bb031466019f643b41dbb905b16a0a47a40de414c1e8745f9c28766d6ace9
https://www.bscscan.com/tx/0xeb3823143c82fc40077328545b081118fdb36dd373631a362f7f3d42031a68b3
可能的分析: 1 、黑客读取印象云笔记得到助记词 2 、黑客读取了粘贴板
至于具体细节或原因,希望 V 友给点指导和分析~
 |
1
EagerTo 2023-10-12 19:46:42 +08:00 via iPhone  13
华为 P30 尤为亮眼 .
|
 |
2
ryan4yin 2023-10-12 19:53:29 +08:00 via Android
就这俩原因了吧,建议就是助记词千万别复制粘贴,也别明文存储在任何地方。
加密保存,密码只放脑子里。 |
 |
3
pengjay 2023-10-12 19:54:21 +08:00
手抄吧,太多 app 监控粘贴板了
|
 |
4
Hilong 2023-10-12 19:54:58 +08:00
有没有可能是 tokenPocket 的信息泄露呢
|
 |
5
zooo 2023-10-12 20:03:34 +08:00 3
你这个助记词经历有点多呀,经过好多环节,任何环节都有可能被泄露
甚至微信,都可能有后台人看到你这个助记词,盗走了.. 根本分析不出来 提醒下,你用的任何一款 APP 包括手机都有可能收集你的信息,被这些公司的打工人看到,有意之人就盗去了.. |
 |
6
liqiuqiu 2023-10-12 20:08:40 +08:00
@zooo 除了 tokenPocket 不了解,其他 app 也不是什么小众软件了,能接触到这些生产环境用户数据的打工人感觉也不会缺这点钱吧,冒这么大风险干这事儿明显不太划算啊🤣
|
|
7
zooo 2023-10-12 20:10:10 +08:00 2
|
|
8
zooo 2023-10-12 20:10:39 +08:00
无意看到或者有刻意爬着助记词都可能
|
 |
9
886133 2023-10-12 20:14:08 +08:00
印象云笔记
多半是它 |
 |
10
DIO 2023-10-12 20:19:13 +08:00
我现在多端敏感信息传输都用 telegram 。2FA 和重要的密码等信息本地存储用 obsidian 云同步到 nas 。其实笔记这样不太安全,但是我懒。
|
 |
11
lee82014312 2023-10-12 20:22:19 +08:00
印象云笔记、电脑微信、手机微信、搜狗输入法、WPS 、有道云笔记(免费版)
|
 |
12
Cherchez 2023-10-12 20:27:05 +08:00
token pocket 本身就不太那啥
|
 |
13
MFWT 2023-10-12 20:27:55 +08:00
助记词千万不要放到第三方云服务商,不然丢失概率是非常大的
如果要跨设备转移,建议: 1. 可信的移动存储设备,比如自己的 U 盘和硬盘 2. 如果手头有 VPS 的,可以放到 VPS 上的一个文件上(也不要直接放/home 什么的,可以放在隐藏目录等地方) 3. E2E 加密通信软件,比如 tg 的端到端加密+阅后即焚 4. 最笨但最保密的,手抄手打 不管放在哪都好,切记切记转移后及时删除,否则干啥安全措施都没用 |
|
14
MFWT 2023-10-12 20:28:47 +08:00
我是建议用手抄手打的,反正也就那十来个词,而且软件一般有自动补全什么的,不必完整打入
|
 |
15
ncepuzs 2023-10-12 20:30:11 +08:00
tokenPocket 没用过
|
 |
16
Solael 2023-10-12 20:30:44 +08:00
槽点太多了,这被盗只是时间问题。
|
 |
17
testonly 2023-10-12 20:57:13 +08:00
大概率是 TokenPocket 自己做的。
YOU ARE NOT ALONE.请看 YT 视频 G3Xk3vzLjt4 或搜 TokenPocket 官方人员回应用户资产被盗问题,TP 是否还安全? 许多用这个的都这样,就算不是他们自己做的也铁定是他们有漏洞,但我倾向是他们自己做的。 |
 |
18
streamrx 2023-10-12 21:15:25 +08:00 via iPhone 2
炒币还是用苹果的手机和电脑,windows 和安卓连复制粘贴都有可能被窃取
|
 |
19
liuhai233 2023-10-12 23:09:58 +08:00
qmj (网友)也是被搜狗输入法,复制粘贴盗的,10w 刀
|
 |
20
j7915kj220ry590U 2023-10-12 23:15:18 +08:00 2
你这 1 、2 、3 ,每一步都有可能被盗
1. 用云笔记存储,虽说不一定被盗,但是正经人没这么存的 2. 复制助记词、发给微信,槽点太多 3. 华为、win 、搜狗输入法,助记词别到处露 建议看看黑暗森林手册再入圈 https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md |
 |
21
Terry166 2023-10-12 23:20:27 +08:00
任何交易(包括转账)一定是要用你的私钥签名交易的,所以肯定是私钥泄漏了。
|
 |
22
chinaguaiu 2023-10-12 23:32:16 +08:00
信息时代,密码之类的东西还是写纸上安全一些
|
 |
23
gam2046 2023-10-12 23:40:29 +08:00
矬子里面拔大个子,相比较而言,最有可能的是 TokenPocket
|
 |
24
xmh51 2023-10-12 23:41:08 +08:00
大概率知道密钥是干啥的干的,对于微信和云笔记或者粘贴板而言,密钥和助记词反向定位这个单词是币安的而言是非常困难的,也不显示。
|
 |
26
Hakuku 2023-10-13 00:01:25 +08:00
后面几位记本子上,脑子里都可以。
不要让任何人有机会看到你完整的私钥或者助记词。 |
 |
27
qbqbqbqb 2023-10-13 01:34:20 +08:00 1
@xmh51 助记词一般指的是 BIP39 助记词,不是随机串,是 12 个英文单词,其中每个英文单词都是在一个 2048 词的词典里选取的。
你说的“反向定位非常困难”这个根本不成立。懂行的人看到这样 12 个单词,一眼就看出是什么东西了。 |
|
28
qbqbqbqb 2023-10-13 01:48:20 +08:00
@gam2046 TokenPocket 反而是这么多可能性中相当低的一个。TP 钱包是中国大陆币圈相当普及的一款主流链上钱包软件(根本就不是什么小众软件) 20 、21 年国内炒币大火的时候基本币圈人手一个,有被盗的情况,但总体上还是非常少见。
最有可能的原因的还是助记词电子存储、随意拷贝。虽然不知道具体泄密原理和途径,但是应验的案例非常多,我身边就有一个朋友因为用微信传输助记词,很快就被盗。 电子存储传输助记词必被盗,基本上是“百试百灵”,不要有任何侥幸心理。 根本办法还是要杜绝助记词拍照、截屏、网上传输等等一切非端到端加密电子存储传输手段。 如果自己不太了解相关安全技术的,尽量只用纸笔抄写助记词。 对自己电脑手机本地环境安全性有信心(保证无木马后门)的,也可以考虑用密码管理器加密保存,端到端加密传输。 |
 |
29
albert91 2023-10-13 03:19:27 +08:00 via Android
你手机的粘贴板就是个公共厕所知道吗?你还敢粘贴,你看他们交剪切板权限在你手机中有多说软件有权限读取?别说常用的软件,只要你复制之后,数据会一直在剪贴板中,后续你开启的软件都会有读取权限的!,大概率是输入法,还有微信,wps ,有道云
|
 |
30
kkwa56188 2023-10-13 06:23:58 +08:00
排除法的话 我会 1.首先排除 已经存了 几个月的云笔记.
2. tokenPocket :Google Play 上下载的官方 App: 如果 这一百几十刀都被盗的话, 早炸锅了 2. 有问题的是近几天的那几位. |
 |
31
e3c78a97e0f8 2023-10-13 07:09:45 +08:00 via iPhone
你电脑有病毒木马
|
 |
32
geniussoft 2023-10-13 07:48:59 +08:00 via iPhone
你这五毒俱全……
|
 |
33
PlsDontStop 2023-10-13 08:15:14 +08:00 via iPhone
无力吐槽 你这哪一步都不安全 云笔记存助记词 微信复制 竟然还是搜狗输入法 华为手机
|
 |
34
bianhui 2023-10-13 08:19:14 +08:00
看着,应该都不是,在想想其他场景吧,自己忽略的。
|
 |
35
ovtfkw 2023-10-13 08:32:29 +08:00 via iPhone
我助剂词一直存 googlekeep 上 然后用的是 tp 两年多了没啥问题
|
 |
37
lisxour 2023-10-13 09:22:59 +08:00
圈内人表示什么剪切板小偷啥的可能性并不大,根据以往案例更大的可能性是:
1. 钱包本身就有问题 2. 装了恶意软件 3. 访问了恶意网站 |
 |
38
mcdull619 2023-10-13 09:23:19 +08:00
TP 是国人项目 , 尽量少用 。
|
|
39
lisxour 2023-10-13 09:27:30 +08:00 2
@qbqbqbqb #28 我不知道你为什么说 TokenPocket 是主流钱包,我圈内人 18 年玩到现在,只认识 imtoken 、metamask ,而且我刚刚也搜索过 TokenPocket 钱包,有曝光过爆雷事件。
|
 |
40
haohh 2023-10-13 09:34:22 +08:00
知道用小狐狸和 tp 不应该不知道私钥应该怎么保存啊
钱不多 求助大 V 监控地址 冲交易所后要求冻结 |
 |
41
webcape233 2023-10-13 09:54:15 +08:00 via iPhone
诸位现在还能买卖币啊? 什么渠道能买点呢
|
 |
42
dif 2023-10-13 09:58:46 +08:00
@webcape233 我用的欧易
|
 |
43
woooooOOOO 2023-10-13 10:10:54 +08:00
光是剪切板这一步,就不知道有多少软件在监测。
而且就算印象云没有刻意去盗你,他自己的安全措施也未必很强,那么多大公司库都被脱了。 |
 |
44
raycool 2023-10-13 10:13:17 +08:00
助记词分开,少一两个 或者有个故意写错 自己知道正确的就行。
|
 |
45
uYuki 2023-10-13 10:18:17 +08:00 1
你搁这养蛊呢是吧
华为,搜狗,WPS ,微信 你丢才是正常,不丢才是奇迹 而且按你的软件使用习惯,你肯定还有其他很多你根本没有意识到的风险操作 120 刀那个这样的教训真的太便宜你了 |
 |
46
Kinnice 2023-10-13 10:21:25 +08:00
扫过二维码,或者授权过钱包登录吗
|
 |
47
62742a40 2023-10-13 10:54:52 +08:00
你用 chrome 有装什么插件吗,其实我觉得搜狗、wps 、微信并没有什么问题,因为你丢的并不是什么特别明显有指向性的东西,剪贴板无法知道它复制来源是什么
|
 |
48
dongtingyue 2023-10-13 10:57:27 +08:00 1
我觉得是小狐狸的 chrome 插件有问题。我也是以太币存里面后就没有交易过了。词记录在印象笔记。一两年了都,今年被转走了。
|
 |
49
kloudmuka 2023-10-13 10:58:26 +08:00
玩币最好用 iPhone 和 macOS ,另外手写助记词看起来虽然很傻,但确实比电子手段保存安全了几个档次
|
|
50
62742a40 2023-10-13 11:02:07 +08:00
chrome 上面有问题的插件不要太多,safari 目前也有往这个趋势靠拢的感觉。其实这种东西你不应该直接复制
|
 |
51
pkwenda 2023-10-13 11:11:49 +08:00
有没有可能是离开工位忘锁屏,被老王看到了
|
 |
52
bing1178 2023-10-13 11:18:57 +08:00
变量太多了。你说的这些软件 都是大品牌 比如 wps 微信 云笔记 , 是有风险但是也不一定。 因为这个可以单独测试出来,
你单独给他们一个助记词看会不会泄露。如果有,我觉得会被网曝出来。 也就是说可以单独测试这个事。 这是第一个点。第二个点是 你系统中有恶意程序 win 或者 android 都有可能 |
 |
53
NoNewWorld 2023-10-13 11:22:09 +08:00
P30 ,肯定是华为泄露了
|
 |
54
hokori 2023-10-13 11:23:26 +08:00
搜狗输入法这一步就开始了
|
 |
55
morutong 2023-10-13 11:24:39 +08:00
@NoNewWorld #53 不是的话,你会道歉吗
 |
 |
56
Tengdw 2023-10-13 11:42:46 +08:00
大概率剪切板泄露,助记词私钥设备间传输不要一次性发过去,分段发送或者发一部分另外一部分手动输入或者扫二维码输入
|
 |
57
fluffyfoxxo 2023-10-13 11:51:15 +08:00 via iPhone 2
搜索关键词 搜狗输入法 Citizen Lab
|
 |
58
BwNVlwSq 2023-10-13 12:08:09 +08:00
助记词明文保存在笔记软件上,如果电脑上有病毒就能扫出来吧
话说不少钱包都支持云备份,至少是加密保存的 要妥善保管助记词的话,还是得考虑用离线设备来记录 |
 |
59
chippai 2023-10-13 12:17:42 +08:00
最大概率是小狐狸插件,可以去搜索小狐狸丢币,有前科的。
|
 |
60
JohnChang 2023-10-13 12:17:43 +08:00
这个我知道准确答案:1
而且大概率不是扫描你电脑,是你的交易所账号密码被卖了,然后拿去扫印象笔记。 至于我怎么知道的?同样的方式我去年被盗了 40 万 U 我会说吗? |
 |
61
herozzm 2023-10-13 12:42:16 +08:00
牛 B ,助记词既然联网发来发去,不是应该应该冷存储不联网吗?鬼知道在哪个联网环节泄露了
|
 |
62
Ephzent 2023-10-13 12:53:20 +08:00
买个教训,这学费可以忽略不计了
|
 |
63
IDKAFK 2023-10-13 14:27:44 +08:00
浏览器扩展也能够读取、篡改剪贴板
|
 |
64
akaxiaok339 2023-10-13 14:37:25 +08:00
不用分析了,每一步都是高血压操作
|
 |
65
polobug 2023-10-13 15:05:18 +08:00
如果大公司有泄漏,单纯一个 token 值,对于他们大量不关联的数据,也没法知道你是要做啥(除非你明确写了 token 用处)。而且暗网大可能有消息传出的。而且就为了你这 100 去扫描数据库也不实际。如果有的话,盗号应该是日经帖
在我看来,可能性最大的是圈内软件 |
 |
66
lxzxl 2023-10-13 15:09:50 +08:00 via Android
wps 前段时间出出过一个漏洞,很多人被盗了
|
 |
67
SoyaDokio 2023-10-13 15:18:30 +08:00
@ryan4yin #2 用大脑存储不现实吧,钱包助记词一般都 10 个单词上下,且还有排序要求,这得过几天背一下才能持续记住...
|
|
68
SoyaDokio 2023-10-13 15:27:33 +08:00 1
金额小说明可能不是针对性作案,而是广撒网。
“2~3 天后就...”这个时间节点参考意义不大。 既然未加密数据在 Win10 这种用户基数庞大的系统上流动过,那么再介绍常用软件已没有意义,因为每个都有嫌疑。 我的观点是大概率是在 Win10 上获知你有这个币,然后标记为目标,最后检测个剪贴板等鱼上钩就好。 |
 |
70
joyhub2140 2023-10-13 15:32:55 +08:00
用盗版软件也有被盗的可能性,总之太多了。
|
 |
71
eXEuuAJ67ZyUA1CB 2023-10-13 16:10:30 +08:00
想问一下,自建服务器 bitwarden 安全性如何?
|
 |
72
neptuno 2023-10-13 16:27:01 +08:00
助记词分成几部分,放在不同地方,然后留一个词人脑记忆或者写下来,然后找一个地方记一下顺序,是不是好一点。
|
 |
73
zbowen66 2023-10-13 17:30:50 +08:00
流程这么多,生怕别人不知道是吗
|
 |
74
realpg 2023-10-13 17:47:31 +08:00
让我再笑一会儿
用电子手段直接存助记词的大聪明 hhhhhhhhhhhhhh |
 |
75
91pornshanghai 2023-10-13 18:07:43 +08:00
我助记词还有一些两步认证的恢复密钥我都是打印出来放家里的
|
 |
76
dya 2023-10-13 18:20:06 +08:00
几百天前有个帖子:metamask 账户被盗了
https://v2ex.com/t/947627 |
 |
77
kumiko 2023-10-13 18:30:23 +08:00
@91pornshanghai 方便条子上门时一窝踹了
|
 |
78
imtianx 2023-10-13 18:31:52 +08:00
输入法之类的,只是工具,没必要用同步功能,可以禁止此类能离线使用软件的网络访问功能
|
|
79
uYuki 2023-10-13 19:03:45 +08:00
@walgery 绝大多数都不会比官方更安全
因为自建最大的问题不是你选择的服务安全与否 是你的服务器本身的安全与否,以及你自己的安全水平及格与否。 简单的说就是从物理安全的角度来说 你把金条存在家里并不会比存在银行更安全 因为你家的门最多几千块钱一条,银行保险库的门起步几万块钱一条 存家里只是你自己看到自己的金条,心理上觉得安全,物理上反而是最不安全的。 |
 |
80
byzod 2023-10-13 23:58:16 +08:00
不是,你传文件随便 7z 压一下然后手写个临时密码不就好了
一次性密码本是不可能被破解的 |
 |
81
Chris008 350 天前
我随便搜了一下 “印象笔记(Evernote)” + “stolen” or “hacked” 关键词,发现受害者无数啊...
|
Select Language